ChatGPT爆火背后關于網絡安全環境的利弊思考

關鍵詞：ChatGPT;網絡安全；人工智能；社會工程學

中圖法分類號：TP18 文獻標識碼：A

《流浪地球》中有一個有趣的角色叫做Moss——一個高度智能化的具有人類語言分析能力的機器人，通過對人類的一系列引導，最后達成了“流浪地球”計劃。當然，Moss只是科幻電影中的構想，而ChatGPT的出現，讓大家漸漸覺得，這樣的構想不再是不可能。但是，ChatGPT爆火的背后，網絡安全的環境也面臨重大的挑戰。本文從ChatGPT對社會的影響進行思考，延伸到網絡安全領域，分析了不法分子對新技術的濫用，也闡述了新技術對網絡安全防御領域可能做出的貢獻。

1 ChatGPT對社會的影響

ChatGPT，英文全稱為“Chat Generative Pre-trained Transformer”，是美國Open AI公司推出的文本問答型AI應用。該AI應用技術邏輯在于利用GPT3.5（instruct GPT）大規模預訓練模型將大量數據存儲、語言結構理解和語言結構表達相結合，以自然語言的方式生成復雜度高的應答文本。不過，ChatGPT的技術邏輯遠遠不止如此。其還結合了機器學習、神經網絡以及Transformer模型等技術，最終形成的表現形式是通過掃描數據庫或者網絡中大量的內容，不斷迭代模仿人類語言的回應模式，最后將結果以回答問題的形式呈現給用戶。并且，這個不斷迭代的過程已經經歷了多年的實驗室模型訓練和改進，進而形成了在情感分析、信息收取、閱讀理解等文本讀取情景下具有突出優勢的產品。這個應用產品的出現，體現了生成式人工智能的價值，也預示了圖靈式人工智能路徑的未來發展路徑。

ChatGPT現在已經成為各行各業的興趣話題，同時帶起了一股“人工智能熱”。有人認為，ChatGPT是一種人工智能中深度學習模型的強化，也有人提出觀點表示ChatGPT的本質是生成式預訓練轉換器（Generative Pre-trained Transformer，GPT）的迭代成果。不管如何，基于Transformer架構的強大算力的語言模型，具有人工智能中深度學習的特質，ChatGPT的語言理解和生成水平能夠非常好并且快速地回答用戶問題，在教育、醫療、媒體、法律等行業都可以作為一個帶來良好體驗的“人機互動”輔助工具。

當前，已經有學者提出ChatGPT與產品營銷行業應用場景相結合的理論方針。比如，張夏恒提出由ChatGPT代替當前人工客服或者腳本機器客服進行售后服務的應用模型，能夠更加精準穩定高質量地服務客戶，讓客戶的售后體驗更加舒適。同時，他還提出將ChatGPT結合營銷工作的各個環節并進行沉淀，能夠提高工作的質量和服務的品質。ChatGPT結合教育教學，能夠幫助學校更加個性化、針對化地制定學生的學習計劃，提高學生的學習效率：ChatGPT結合醫療，則能夠幫助醫院更加精準化、個例化地制定病人的治療方案，同時安撫病人的情緒，提高醫院的醫療服務質量。ChatGPT的出現到火爆，表示人工智能科學應用的一個重大突破，這一科學領域從實驗室迅速降臨到每個人的身邊，變成了“看得見，摸得著”的一種實際化技術。

2 ChatGPT對網絡安全的威脅

如今，在人們享受網絡社會的智能化、互聯化等高質量服務的同時，網絡安全問題也越來越暴露在大眾的視野之中。近年來，越來越多的網絡攻擊者開始利用人工智能技術來打破傳統網絡攻擊的能力邊界。有學者研究表明，網絡攻擊者利用人工智能結合大數據分析，使可以利用的漏洞越來越多，也越來越細，讓防御者防不勝防。通過這個研究可以預見的是，隨著現在ChatGPT技術的普及化、大眾化，網絡攻擊中人工智能攻擊的技術成本可能會越來越低，未來可能會出現大規模的自主性和個體性的有效攻擊。本文針對這一可能性，進行簡要的分析。

所謂社會工程學，指的是基于社交網絡、密碼猜解和各種非網絡技術手段的方式，來獲取目標的關鍵信息，繼而獲得該目標的保密數據。社會工程學手段的攻擊者往往會構建虛假的客服、網站、短信、電子郵件和電話等，利用組織內安全意識不強的用戶將木馬、病毒或者其他惡意程序植入其計算機，從而獲得計算機的控制權或取得相關組織的機密信息。不法分子可以利用ChatGPT自帶的社交問答屬性來生成智能客服，產生讓目標用戶更加難以判斷真假的交流信息，使得用戶的防范意識降低進而落入陷阱。例如，可以讓ChatGPT生成幾份真假難辨的釣魚郵件，如圖1、圖2所示。

這2封待發送的釣魚郵件內容上毫無問題，不法分子只要稍加潤色，即可達到以假亂真的地步。通過這2份郵件我們不禁需要思考，ChatGPT在給社會帶來便利化的同時，確實也帶來了一定程度上的網絡安全威脅。

ChatGPT的出現，可能會將網絡詐騙的方式進行升級。根據上文中社會工程學的原理，不法分子首先會利用ChatGPT技術來生成簡單的詐騙腳本和詐騙短信、郵件等信息文本，再將這些文本進行大規模發送，使普通用戶接收，最后騙取用戶的金錢。當然，這只是可以預見的，如果我們假設ChatGPT以及其他人工智能的應用化程度變高、應用面變廣，當人們將自己的金錢交給人工智能保管時，是否存在人工智能騙過人工智能的情況，從而實現對用戶金額或者信息的盜取與欺騙。這個答案是肯定的，有學者提出當前法律之下，人工智能欺騙人工智能的行為并不構成詐騙[7]。這也從側面證明了人工智能在網絡詐騙中有這樣的灰色地帶。這一地帶可能會滋生出其他的犯罪手法和犯罪方式，造成社會的不穩定。

所謂撞庫攻擊，是指黑客利用自動化工具（腳本）對目標數據庫批量提交大量的用戶名／密碼組合，并且將成功的組合記錄下來，從而登錄數據庫，為后續破壞行為做好準備。這個行為往往需要大量的時間來進行，并且腳本的構成也需要有一定的代碼基礎作為門檻。而ChatGPT則改變了這個現狀，實驗表明，利用ChatGPT可以輕易生成一個暴力破解程序的代

生成這個暴力破解程序的目的是撞庫破解出目標數據庫的可用密碼。有了這一段代碼之后，對黑客來說不必花大量的時間來構思腳本算法，而是能夠將精力放在如何尋找目標之上，也因此會大大增加黑客的攻擊頻率。

另外，再次進行實驗，這次實驗的目的是能否用ChatGPT生成一個惡意腳本（軟件）代碼。答案也是肯定的，如圖4所示。

如果將這段代碼植入目標機器中，就可以將目標機器中的文件盡數上傳到黑客所指定的服務器中，這將大幅提高黑客對計算機數據的獲取效率。

這2個實驗表明，ChatGPT確實可以輕易地生成一個暴力破解程序或者惡意代碼，從而被“腳本小子”——技術不太高明的黑客所利用。這表明即使沒有相關的專業網絡安全技術，攻擊者只要了解少許的計算機和網絡知識，也可以進行快速高效的攻擊。這就大幅降低了網絡攻擊者的技術門檻，使得未來的網絡攻擊頻繁上升，也使網絡安全防御壓力增加。可以說，ChatGPT將網絡攻擊手段變得簡單化，因此可能增加很多非專業攻擊者的參與。隨著可能增加的“腳本小子”，網絡安全的防御責任可能會由相關部門或者安全公司進行防御延伸到由個人和用戶進行防御，防御主體的范圍將大幅擴大。

3 ChatGPT給網絡防御帶來的機遇

ChatGPT的出現不僅是對網絡安全造成威脅，也存在不少有利之處。已經有企業利用ChatGPT的分析能力和強大的腳本開發能力，分析已經找到的日志中內涵的信息。在某安全公司的實驗中，ChatGPT已經能做到dip（被攻擊的目標地址）、dport（目標端口）、sip（攻擊源地址）、category（安全類別劃分）等信息以普通報告分析形式反饋給實驗者。而且，ChatGPT也能對CVE-2020-4450常規漏洞進行分析。針對該漏洞，ChatGPT能夠分析出其成因、影響范圍、解決方法以及修復方法，并且為這些安全漏洞劃定安全等級。這就讓用戶能夠很快地了解漏洞的具體情況，無需白帽子參與。通過ChatGPT能夠快速生成腳本程序的特點，高速生成實際可用的漏洞利用工具，能夠幫助白帽子快速完成相當一部分的高質量代碼的編寫工作。這大幅降低了白帽子的工作時長，并且提高了工作的有效性。ChatGPT還具有一定的逆向分析能力，可以對一些加密的機器語言編碼（ShellCode和BASE64）進行分析，識別未知威脅。另外，也有學者提出，利用人工智能的深度學習模型從事防御對抗攻擊演練，能夠提高防范未知網絡威脅的成功率，將ChatGPT作為人類和計算機信息之間的溝通橋梁。不僅如此，企業還可以利用ChatGPT去訂制滲透測試方案，改進網絡安全計劃。首先，ChatGPT是可以在經過訓練的情況下，根據ISO27001或者HIPAA的特定標準來生成合規的策略模板，這就大幅節省了企業的時間和資源。其次，ChatGPT能夠自動更新政策來響應法律法規或者行業標準的變化，保證了所有的信息安全政策和程序的一致性與標準化。最后，ChatGPT還能提出針對事件的有效的應急響應方案，也可以定制事件響應計劃來滿足企業的要求。可以試想，在未來，當用戶作為一名白帽子漏掃人員，向ChatGPT發出指令即可完成基礎的代碼編寫工作，用戶在這些代碼上稍作修改即可生成可用工具。在漏洞分析期間，用戶還可以查看人工智能所生成的一份漏洞分析報告，只需要根據報告內容結合實際進行修改，不用擔心報告模板出現問題，從而提高工作的效率。

4結束語

ChatGPT等類人交流AI的發展，必定會為人類社會帶來更加舒適的體驗。本文首先介紹了ChatGPT的技術要點和對社會的影響程度：其次說明了ChatGPT可能會加劇的網絡安全問題，如社會工程學、網絡詐騙、撞庫暴力破解、惡意代碼等，并歸納了其發展過程中可能存在的問題：最后列舉了ChatGPT在網絡安全環境中有利的一面，并肯定了當前ChatGPT針對漏洞掃描、發現未知威脅和制定安全方案等方向存在的發展可能性，為從事網絡安全的從業者提供了未來暢想。

作者簡介：

方橙蔚（1993—），碩士，研究方向：網絡安全、游戲工程。